Anklage gegen FinFisher-Manager wegen illegalem Spähsoftware-Export

Geschäftsgebäude von FinFisher in München
FinFisher hatte Anfang 2022 den Betrieb eingestellt – die Ermittlungen dauerten aber an. (Quelle: Beowulf Tomek – CC BY-SA 4.0)

Die Staatsanwaltschaft München hat Anfang Mai Anklage gegen vier Verantwortliche der FinFisher-Unternehmensgruppe erhoben. Ihnen wird gewerbsmäßiger Verstoß gegen das Außenwirtschaftsgesetz vorgeworfen. Das teilte die Behörde am Montag mit. Die Spähsoftware FinSpy soll in der Türkei gegen Oppositionelle eingesetzt worden sein. Über die Eröffnung des Hauptverfahrens muss nun die zuständige Große Strafkammer des Landgerichtes München entscheiden.

Die inzwischen insolvente FinFisher-Gruppe hatte Überwachungssoftware entwickelt und weltweit an Strafverfolgungsbehörden und Nachrichtendienste verkauft. Laut Staatsanwaltschaft wurde der wesentliche Teil des Umsatzes mit dem Verkauf in Nicht-EU-Staaten erzielt.

Die Staatsanwaltschaft erklärte, durch den Verkauf von Überwachungssoftware in Nicht-EU-Länder hätten die Beschuldigten vorsätzlich gegen Genehmigungspflichten verstoßen und sich strafbar gemacht. Denn seit dem Jahr 2015 müssen Exporte von Überwachungssoftware in Länder außerhalb der EU genehmigt werden. Für FinFisher habe dies eine “existentielle Gefährdung” bedeutet. Durch eine global verzweigte Firmenstruktur habe der Anschein erweckt werden sollen, dass der Vertrieb auch nach Inkrafttreten der Exportbeschränkungen rechtskonform fortgeführt werde. Tatsächlich seien aber alle Aktivitäten der verschiedenen Unternehmen weiterhin von München aus gesteuert, geleitet und koordiniert worden. Die Ausfuhr der Spähsoftware sei ohne Genehmigung über eine in Bulgarien ansässige Gesellschaft abgewickelt worden.

Verkauf an türkischen Geheimdienst

Konkret wirft die Staatsanwaltschaft den FinFisher-Managern vor, Ende Januar 2015 einen Vertrag über die Lieferung von Überwachungssoftware, Hardware, technischer Unterstützung und Schulungen in die Türkei im Wert von mehr als fünf Millionen Euro geschlossen zu haben. Empfänger sei der türkische Geheimdienst MIT gewesen.

Um die Lieferung zu verschleiern, sei im Vertrag die bulgarische Gesellschaft als Verkäuferin benannt gewesen. Als Empfängerin sei eine nicht existierende “Generaldirektion für Zollkontrolle” in Ankara eingetragen gewesen.

Den Beteiligten war laut Staatsanwaltschaft bewusst, dass die dafür erforderliche Exportgenehmigung nie erteilt wurde – auch nicht durch die bulgarischen Behörden. In Deutschland sei eine Exportgenehmigung nicht einmal beantragt worden. Die FinFisher-Verantwortlichen hätten in der Absicht gehandelt, “sich durch diese Geschäfte eine fortlaufende Einnahmequelle von erheblichem Umfang zu verschaffen”.

Organisationen hatten Anzeige erstattet

Angestoßen wurden die Ermittlungen durch eine Strafanzeige, die im Juli 2019 von der Gesellschaft für Freiheitsrechte (GFF), Reporter ohne Grenzen (RSF), dem European Center for Constitutional and Human Rights (ECCHR) und netzpolitik.org gegen die Geschäftsführer der Unternehmensgruppe gestellt wurde.

Sicherheitsforscher vom Chaos Computer Club (CCC) hatten im Jahr 2019 nachgewiesen, dass FinSpy im Jahr 2017 über eine Webseite verteilt wurde, die sich vermeintlich an Teilnehmer des “Gerechtigkeitsmarsches” gerichtet hatte. Die Protestveranstaltung um den aktuellen türkischen Präsidentschaftskandidaten Kemal Kılıçdaroğlu hatte damals gegen die repressive Politik der türkischen Regierung demonstriert.

Der CCC hatte mit seiner Untersuchung die Ergebnisse zweier vorausgegangener Analysen der Organisation Access Now und der Ruhr-Universität Bochum aus dem Jahr 2018 bestätigt.

Angreifer konnten mit FinSpy ein Smartphone oder einen Computer komplett übernehmen und beispielsweise Telefongespräche mithören, Chats mitschneiden oder Geräte lokalisieren. Nach Angaben der Organisationen hat die Spähsoftware in der Türkei “wahrscheinlich die Überwachung einer großen Zahl politischer Aktivistinnen und Aktivisten und Medienschaffender” ermöglicht.

RSF-Vorstandssprecherin Katja Gloger erklärte: “Für die Betroffenen bedeutet jeder einzelne Fall einen massiven Eingriff in ihre Persönlichkeitsrechte. Vor allem in autoritären Staaten kann das für Journalisten und ihre Quellen, für Aktivistinnen und Oppositionelle dramatische Folgen haben.”

FinFisher existiert nicht mehr

Im Laufe der Ermittlungen hatten Staatsanwaltschaft und Zollkriminalamt Ende 2020 auch 15 Geschäftsräume von FinFisher sowie Privatwohnungen durchsuchen lassen. Außerdem wurden Rechtshilfeersuchen an Schweden, Zypern, Malaysia, Bulgarien und Rumänien gerichtet.

Mittlerweile ist FinFisher insolvent – das Unternehmen hat im vergangenen Jahr den Betrieb eingestellt.

Sarah Lincoln, Juristin bei der GFF, kommentierte die Anklage: “FinFisher hat offenbar jahrelang Überwachungssoftware illegal an autoritäre Regierungen verkauft, und damit weltweit zur Überwachung und Unterdrückung von Menschenrechtsverteider*innen, Journalist*innen und Oppositionellen beigetragen. Dass die Verantwortlichen nun endlich belangt werden, ist ein längst überfälliges Signal, dass solche Verstöße nicht ungestraft bleiben dürfen.”

Miriam Saage-Maaß, Legal Director des ECCHR, kritisierte: “Bislang konnten Firmen wie FinFisher trotz europäischer Exportregulierung fast ungehindert weltweit exportieren.” Die Anklageerhebung sei längst überfällig und führe “hoffentlich zeitnah zur Verurteilung der verantwortlichen Geschäftsführer”. Saage-Maaß mahnte: “Aber auch darüber hinaus müssen die EU und ihre Mitgliedstaaten viel entschiedener gegen den massiven Missbrauch von Überwachungstechnologie vorgehen.”

Menschenrechtler hatten bereits vor dem Einsatz in der Türkei den Missbrauch von FinSpy dokumentiert: Die Überwachungssoftware soll unter anderem in Ägypten, Äthiopien und Bahrain gegen Aktivisten, Dissidenten und Medienschaffende eingesetzt worden sein. (js)